Informaciona tehnologija danas igra ključnu ulogu u osiguravanju efikasnog izvršavanja poslovnih procesa različitih komercijalnih kompanija. U isto vrijeme široku upotrebu informacione tehnologije u aktivnostima kompanija dovodi do povećanja aktuelnosti problema vezanih za zaštitu podataka. U posljednjih nekoliko godina, kako u Rusiji tako iu stranim zemljama, došlo je do porasta broja napada na automatizirane sisteme, što je dovelo do značajnih finansijskih i materijalnih gubitaka. Za objektivnu procjenu trenutnog nivoa sigurnosti automatiziranih sistema koristi se sigurnosna revizija o kojoj će biti riječi u ovom članku.
Trenutno stručnjaci koriste nekoliko definicija revizije, ali najčešće korištene su sljedeće: revizija sigurnost informacija — proces dobijanja objektivnih kvalitativnih i kvantitativnih procena trenutnog stanja informacione bezbednosti preduzeća u skladu sa određenim bezbednosnim kriterijumima i indikatorima.
Vrste revizije sigurnosti informacija
Mogu se razlikovati sljedeće glavne vrste revizije sigurnosti informacija:
Instrumentalna sigurnosna analizaautomatizovani sistem. Ova vrsta revizije ima za cilj identifikaciju i eliminaciju sistemskih softverskih i hardverskih ranjivosti.
Instrumentalnu analizu čine stručnjaci za sigurnost informacija koji sprovode napade na automatizovani sistem koji se proučava. U tom slučaju se može koristiti bilo koji softver i hardver koji su dostupni napadačima. Glavna svrha instrumentalne analize je periodična provjera radi identifikacije novih ranjivosti. osim toga, ovaj tip revizija se može koristiti kada se otkrije činjenica curenja informacija ograničen pristup kako bi se spriječilo ponovljeno curenje.
IN opšti slučaj instrumentalna analiza se sastoji iz dva dela:
1) istraživanje sigurnosti automatizovanog sistema od daljinskih napada – skeniraju se dostupni hostovi sa mreže korisnika i mrežni napadi u svrhu dobijanja neovlašćenog pristupa zaštićenim informacijama ili administrativnim resursima.
2) identifikacija pretnji informacionoj bezbednosti od zaposlenih u preduzeću ili uljeza koji su ušli u kancelariju - vrši se analiza metoda autentikacije zaposlenih u kompaniji, mehanizama za podelu prava pristupa i bezbednost informacija prilikom prenosa preko lokalne mreže odlučan.
Tokom instrumentalne analize, ranjivosti povezane sa zastarjele verzije softverskih proizvoda i njihova pogrešna konfiguracija, iako značajni nedostaci u korporativna politika sigurnost.
Evaluacija automatizovanih sistema za usklađenost sa preporukama međunarodnih standarda i zahtjevima upravljačkih dokumenata FSTEC-a, GOST-ova i industrijskih standarda.
Ova vrsta revizije je studija o usklađenosti sistema sigurnosti informacija sa zahtjevima zvaničnih dokumenata, na primjer ruskog - „Posebni zahtjevi i preporuke za tehnička zaštita povjerljive informacije" (STR-K), "Sigurnost informacionih tehnologija. Kriterijumi za procenu bezbednosti informacionih tehnologija“ (GOST R ISO/IEC 15408-2002) ili stranih – „Informacione tehnologije. Upravljanje sigurnošću informacija" - ISO/IEC 17799, WebTrust i drugi.
Posebna karakteristika revizije usklađenosti sa standardima je njena povezanost sa drugom uslugom – sertifikacijom. Ukoliko je revizija uspješno završena, kompanija će dobiti potvrdu o usklađenosti svog sistema informacione sigurnosti. A to je ozbiljan plus za imidž svake javne organizacije, posebno onih koje rade sa stranim partnerima. Treba napomenuti da u vladine organizacije, rad sa informacijama koje čine državna tajna, sertifikacija sistema informacione bezbednosti je obavezna. Još jedna karakteristika revizije usklađenosti sa standardima je da samo organizacije koje imaju potrebne dozvole za obavljanje ovakvih aktivnosti ili su specijalizovani sertifikacioni centri imaju pravo izdavanja sertifikata.
Izvještaj o ovoj vrsti revizije uglavnom sadrži sljedeće informacije: stepen usklađenosti automatizovanog sistema koji se testira sa odabranim standardima, broj i kategorije nedoslednosti i dobijenih komentara, preporuke za izgradnju ili modifikaciju sistema informacione bezbednosti koji će ga dovesti u saglasnost sa predmetnim standardima.
Rezultati mogu takođe uključiti stepen usklađenosti sistema informacione bezbednosti sa internim zahtevima menadžmenta organizacije korisnika.
Stručna revizija sigurnost automatizovanog sistema. U postupku sprovođenja ove vrste revizije nedostatke u sistemu informacione bezbednosti treba identifikovati na osnovu postojećeg iskustva stručnjaka koji učestvuju u postupku ispitivanja.
Stručna revizija se sastoji od detaljnog proučavanja sigurnosnog sistema klijentovog automatizovanog sistema i njegovog poređenja sa nekim idealnim modelom za osiguranje informacione sigurnosti. Štoviše, idealan model u svakom konkretnom slučaju može varirati ovisno o zahtjevima kupca i sopstveno iskustvo revizorska kompanija.
Rezultat stručnog istraživanja je izrada i dostavljanje izvještaja klijentima, koji sadrži podatke o utvrđenim slabostima u sistemu sigurnosti i nedostacima u paketu organizacionih i administrativnih dokumenata, kao i prijedloge za njihovo otklanjanje. Osim toga, stručnjaci mogu dati preporuke o izboru i primjeni sistema informacione sigurnosti i druge dodatne posebne tehnička sredstva.
Svaka od navedenih vrsta revizije može se provoditi zasebno ili u kombinaciji, ovisno o zadacima koje je potrebno riješiti u organizaciji. Predmet revizije može biti kako automatizovani sistem preduzeća u celini, tako i njegovi pojedinačni segmenti u kojima se obrađuju informacije o ograničenom pristupu.
Djelokrug poslova revizije sigurnosti informacija
Općenito, sigurnosna revizija, bez obzira na oblik njene provedbe, sastoji se od četiri glavne faze:
- Razvoj regulative revizije
- Prikupljanje početnih podataka
- Analiza primljenih podataka
- Izrada preporuka za povećanje nivoa zaštite automatizovanog sistema
U prvoj fazi Zajedno sa naručiocem izrađuju se propisi kojima se utvrđuje sastav i postupak izvođenja radova. Osnovni zadatak propisa je da se utvrde granice unutar kojih će se vršiti istraživanje. Pravilnik je dokument koji vam omogućava da izbjegnete međusobna potraživanja po završetku revizije, jer jasno definiše odgovornosti strana.
U drugoj fazi U skladu sa dogovorenim propisima, prikupljaju se inicijalne informacije. Metode prikupljanja informacija uključuju intervjuisanje zaposlenih sa klijentima, analizu dostavljene organizacijske, administrativne i tehničke dokumentacije, te korištenje specijalizovanih alata. U ovoj fazi prikupljaju se sljedeće vrste informacija:
- Organizaciona i administrativna dokumentacija o pitanjima informacione bezbednosti (politika informacione bezbednosti kompanije, upravljački dokumenti, propisi za rad korisnika sa informacionim resursima)
- Informacije o hardveru hosta (lista servera, radnih stanica, komutatorske opreme automatizovanog sistema; informacije o hardverskoj konfiguraciji servera, podaci o perifernoj opremi)
- Informacije o softveru za cijeli sistem (informacije o operativni sistemi i DBMS koji se koristi u sistemu koji se proučava)
- Podaci o aplikativnom softveru (lista aplikativnog softvera opšte i posebne namjene; opis funkcionalni zadaci riješeno korištenjem aplikativnog softvera)
- Informacije o zaštitnoj opremi ugrađenoj u automatizovani sistem (podaci o proizvođaču zaštitne opreme, podaci o konfiguraciji zaštitne opreme, dijagram ugradnje zaštitne opreme)
- Informacije o topologiji automatizovanog sistema (topologija lokalne mreže, informacije o vrstama komunikacionih kanala koji se koriste u automatizovanom sistemu mrežni protokoli, dijagram toka informacija)
Treća faza rad uključuje analizu prikupljenih informacija kako bi se procenio trenutni nivo bezbednosti automatizovanog sistema korisnika.
Proces analize utvrđuje rizike informacione sigurnosti kojima kompanija može biti izložena.
U stvari, rizik je integralna procjena koliko je efikasan postojećih objekata zaštite su sposobne da se odupru napadima korišćenjem informacione tehnologije.
U zavisnosti od vrste revizije, koriste se dve glavne grupe metoda za izračunavanje bezbednosnih rizika. Prva grupa metoda vam omogućava da utvrdite nivo rizika procjenom stepena usklađenosti sa određenim skupom zahtjeva za sigurnost informacija.
Izvori takvih zahtjeva mogu uključivati:
- Regulatorni dokumenti preduzeća koji se odnose na pitanja informacione sigurnosti;
- Zahtjevi važećeg ruskog zakonodavstva - smjernice FSTEC-a (Državne tehničke komisije), STR-K, zahtjevi FSB-a Ruske Federacije, GOST-ovi itd.;
- Preporuke međunarodnih standarda - ISO 17799, OCTAVE, CoBIT, itd.;
- Preporuke kompanija za proizvodnju softvera i hardvera - Microsoft, Oracle, Cisco, itd.
Ova grupa metoda se koristi pri ocjenjivanju usklađenosti automatiziranih sistema sa standardima i smjernicama.
Druga grupa metoda za procenu rizika informacione bezbednosti koristi se prilikom sprovođenja instrumentalne bezbednosne analize i zasniva se na utvrđivanju verovatnoće nastanka napada, kao i stepena njihove štete. U ovom slučaju, vrijednost rizika se izračunava posebno za svaki napad i općenito se predstavlja kao proizvod vjerovatnoće napada i iznosa moguće štete od ovog napada. Vrijednost štete utvrđuje vlasnik informacionog resursa, a vjerovatnoću napada izračunava grupa stručnjaka koji vodi postupak revizije.
Metode prve i druge grupe mogu koristiti kvantitativne ili kvalitativne skale za određivanje količine rizika po sigurnost informacija. U prvom slučaju rizik i svi njegovi parametri su izraženi u numeričkim vrijednostima. Tako, na primjer, kada se koriste kvantitativne skale, vjerovatnoća napada može se izraziti kao broj u određenom intervalu, a šteta od napada može se navesti kao novčani ekvivalent materijalnih gubitaka koje organizacija može pretrpjeti ako napad je uspješan.
Kada koristite kvalitetne vage numeričke vrijednosti zamjenjuju se ekvivalentnim konceptualnim nivoima. U ovom slučaju, svaki konceptualni nivo će odgovarati određenom intervalu kvantitativne skale ocjenjivanja.
Prilikom izračunavanja vjerovatnoće napada, kao i stepena moguće štete, mogu se koristiti statističke metode, metode stručne procjene ili elementi teorije odlučivanja.
Na osnovu rezultata analize u četvrtoj fazi Razvijaju se preporuke za poboljšanje nivoa sigurnosti automatizovanog sistema od pretnji bezbednosti informacija.
- smanjenje rizika upotrebom dodatnih organizacijskih i tehničkih sredstava zaštite kako bi se smanjila vjerovatnoća napada ili smanjila moguća šteta od njega. Tako, na primjer, postavljanje zaštitni zidovi u tački povezivanja automatizovanog sistema na Internet, može značajno smanjiti verovatnoću uspešnog napada na javno dostupne informacione resurse sistema, kao što su Web serveri, mail serveri itd.;
- izbegavanje rizika promenom arhitekture ili obrasca protoka informacija automatizovanog sistema, čime se eliminiše mogućnost izvođenja određenog napada. Na primjer, fizički isključenje segmenta automatiziranog sistema u kojem se obrađuju povjerljive informacije sa Interneta omogućava eliminaciju napada na povjerljive informacije iz ove mreže;
- promjena prirode rizika kao rezultat preduzimanja mjera osiguranja. Primeri takve promene u prirodi rizika uključuju osiguranje opreme automatizovanog sistema od požara ili osiguranje informacionih resursa od mogućeg kršenja njihove poverljivosti, integriteta ili dostupnosti;
- prihvatanje rizika ako se smanji na nivo na kojem ne predstavlja prijetnju automatiziranom sistemu.
Po pravilu, razvijene preporuke nisu usmjerene na to potpuna eliminacija sve identifikovane rizike, ali samo da ih svede na prihvatljiv rezidualni nivo. Prilikom odabira mjera za povećanje nivoa zaštite automatiziranog sistema, uzima se u obzir jedno osnovno ograničenje - trošak njihove implementacije ne bi trebao biti veći od cijene zaštićenih informacionih resursa.
Na kraju postupka revizije, njegovi rezultati se formaliziraju u obliku izvještajnog dokumenta, koji se dostavlja kupcu. Generalno, ovaj dokument se sastoji od sljedećih glavnih odjeljaka:
- opis granica u kojima je izvršena revizija bezbednosti;
- opis strukture automatizovanog sistema korisnika;
- metode i alati koji su korišteni u procesu revizije;
- opis identifikovanih ranjivosti i nedostataka, uključujući njihov nivo rizika;
- preporuke za unapređenje sveobuhvatnog sistema bezbednosti informacija;
- prijedlozi plana za provođenje prioritetnih mjera u cilju minimiziranja identifikovanih rizika.
Zaključak
Revizija sigurnosti informacija danas je jedna od najvažnijih efikasni alati da dobije nezavisnu i objektivnu procenu trenutnog nivoa bezbednosti preduzeća od pretnji bezbednosti informacija. Pored toga, rezultati revizije se koriste za formulisanje strategije razvoja sistema informacione bezbednosti u organizaciji. Mora se imati na umu da bezbednosna revizija nije jednokratna procedura, već da se mora sprovoditi redovno. Samo u ovom slučaju revizija će donijeti stvarne koristi i pomoći u poboljšanju nivoa sigurnosti informacija kompanije.
- 14.12.2017
Pet načina da pronađete napadača na mrežiSvi znamo da se napadi na kraju zaustavljaju, jedino ostaje pitanje kako ih brzo pronaći! Dobre vijesti: Napad je vrlo aktivan na početku Napadač se može identificirati i zaustaviti ako znate kako neki od njih izgledaju ključne točke, što će vam pomoći da ga otkrijete.
· prikupljanje revizorskih informacija;
· analiza revizorskih podataka;
Revizija se ne vrši na inicijativu revizora, već na inicijativu menadžmenta kompanije, koji ovaj problem je glavni dionik. Podrška menadžmenta kompanije je preduslov za sprovođenje revizije.
U fazi pokretanja postupka revizije moraju se odrediti granice istraživanja. Sam informacioni podsistemi kompanije nisu dovoljno kritične da bi bile isključene iz opsega istraživanja. Drugi podsistemi možda neće biti podložni reviziji zbog zabrinutosti za povjerljivost.
Prikupljanje revizorskih informacija
· Funkcionalni dijagrami;
· Koje ulazne tačke postoje?
· IS blok dijagram;
Analiza podataka revizije
Drugi pristup, najpraktičniji, oslanja se na korištenje standarda.
Standardi definišu osnovni skup zahtjeva za široku klasu IP, koja je nastala kao rezultat generalizacije svjetske prakse. Standardi mogu definisati različite skupove zahteva, u zavisnosti od nivoa IP bezbednosti koji treba da se obezbedi, njegove pripadnosti (komercijalna organizacija ili vladina agencija) i svrhe (finansije, industrija, komunikacije, itd.). U ovom slučaju, od revizora se traži da ispravno odredi skup standardnih zahtjeva koji moraju biti ispunjeni za ovaj IS. Takođe je potrebna metodologija za procjenu ove usklađenosti. Zbog svoje jednostavnosti ( standardni set zahtjevi za provođenje revizije standardom su već unaprijed određeni) i pouzdanost (standard je standard i niko neće pokušati da ospori njegove zahtjeve), opisani pristup je najčešći u praksi (naročito kada se vrši eksterna revizija).
To vam omogućava minimalni troškovi resurse za donošenje utemeljenih zaključaka o stanju intelektualne svojine.
Treći pristup, najefikasniji, uključuje kombinovanje prva dva. Osnovni set zahtjevi za IP su određeni standardom. Dodatni zahtjevi, uzimajući u obzir specifičnosti funkcionisanja ovog informacionog sistema u maksimalnoj mjeri, formiraju se na osnovu analize rizika. Ovaj pristup je mnogo jednostavniji od prvog, jer Većina zahtjeva je već definisana standardom, a istovremeno nema nedostatak drugog pristupa, a to je da zahtjevi standarda možda neće uzeti u obzir specifičnosti IP koji se ispituje.
Povezane informacije:
Pretražite na stranici:
Je dostupno
Revizija informacionih tehnologija
Udžbenik za univerzitete
Grekul V.I.
2015 G.
Tiraž 500 primjeraka.
Edukativno izdanje
Format 60x90/16 (145x215 mm)
Verzija: meki povez
I SBN 978-5-9912-0528-3
BBK 32.973
UDC 004.05
anotacija
Date su osnovne informacije o praksama i tehnologijama koje se koriste u kompanijama za organizaciju i podršku IT-a, a razmotrene su procedure za sprovođenje istraživanja i analize upotrebe informacionih tehnologija i njihovog uticaja na aktivnosti organizacije. Opis dostavljen razne vrste IT revizija, odgovarajući ciljevi i zadaci, zahtjevi za stručno osposobljavanje revizora, metode izvođenja revizije. Knjiga je zasnovana na kursu predavanja autora na Visokoj školi ekonomije Nacionalnog istraživačkog univerziteta.
Za studente univerziteta koji studiraju u oblasti Poslovne informatike, biće od koristi za specijaliste iz oblasti upravljanja informacionim sistemima i reinženjeringa poslovnih procesa, sistemskih analitičara, poslovnih analitičara i konsultanta za informacione tehnologije.
Uvod
1. Organizacija projekta revizije informacionih tehnologija
1.1. opšte karakteristike Projekti IT revizije
1.2. Planiranje projekta
1.2.1. Definicija projekta
1.2.2. Analiza rizika
1.2.3. Procedure interno upravljanje kupac
1.2.4. Plan inspekcije
1.3. Izvođenje projekta revizije
1.3.1. Pojašnjenje plana inspekcije
1.3.2. Procedure prikupljanja revizorskih podataka
1.3.3. Provjera postojanja kontrolnih procedura
1.3.4. Provjera efektivnosti upravljačkih procedura
1.3.5. Korištenje rezultata samotestiranja
1.3.6. Posebna analiza situacije
1.3.7. Formiranje zaključaka
1.3.8. Revizijska projektna dokumentacija
1.3.9. Priprema završnog revizorskog izvještaja
1.4. Pitanja za samoprovjeru znanja
2. Procjena organizacije upravljanja informacionim tehnologijama
2.1. Ciljevi revizije
2.2. Tehnike i prakse IT menadžmenta
2.2.1. IT liderska organizacija
2.2.2. IT strategija
2.2.3. Politike, procedure i standardi
2.2.4. Upravljanje rizicima
2.2.5. Upravljanje informacionim tehnologijama
2.2.6. Organizaciona struktura IT službe
2.3. Pitanja za samoprovjeru znanja
3. Procjena menadžmenta životni ciklus IT
3.1. Ciljevi revizije
3.2. Tehnike i prakse upravljanja životnim ciklusom IT-a
3.2.1. Upravljanje portfoliom programa i projekata
3.2.2. Upravljanje projektima
3.2.3. Procjena troškova i vremena IT projekata
3.2.4. Upravljanje životnim ciklusom softverskih proizvoda i informacionih sistema
3.2.5. Upravljanje stvaranjem infrastrukture
3.2.6. Upravljanje životnim ciklusom poslovnih procesa
3.3. Pitanja za samoprovjeru znanja
4. Procjena upravljanja IT uslugama
4.1. Ciljevi revizije
4.2. Metode i prakse upravljanja IT uslugama
4.2.1. Organizacija rada informacionih sistema
4.2.2. Upravljanje IT uslugama
4.2.3. Organizacija funkcionisanja infrastrukture
4.3. Pitanja za samoprovjeru znanja
5. Procjena sigurnosti informacionih resursa
5.1.
Ciljevi revizije
5.2. Metode i prakse za osiguranje sigurnosti informacionih resursa
5.2.1. Osnovni principi informacione sigurnosti
5.2.2. Uloge i raspodjela odgovornosti u osiguravanju sigurnosti informacija
5.2.3. Zalihe i klasifikacija imovine
5.2.4. Kontrole pristupa
5.2.5. Pristupne tačke i metode prijave
5.2.6. Zaštita informacija u skladištu
5.2.7. Upravljanje zakrpama
5.2.8. Sigurnost fizičko obezbeđenje imovine
5.3. Pitanja za samoprovjeru znanja
6. Procjena kontinuiteta i oporavak od katastrofe posao
6.1. Ciljevi revizije
6.2. Metode i prakse za osiguranje kontinuiteta poslovanja i oporavka
6.2.1. Vrste nesreća i katastrofa
6.2.2. Procesi kontinuiteta poslovanja
6.2.3. Ključni indikatori oporavka procesa i sistema
6.2.4. Razvijanje strategije oporavka
6.2.5. Tehnologije za oporavak sistema
6.2.6. Planiranje kontinuiteta poslovanja i oporavka
6.3. Pitanja za samoprovjeru znanja
7. Tabela ključeva: brojevi tačnih odgovora na pitanja za samotestiranje
Književnost
POGLAVLJE 2. FAZE RADA ZA SPROVOĐENJE REVIZIJE INFORMACIONOG SISTEMA PREDUZEĆA
Glavne faze revizije informacionih sistema preduzeća
Rad revizije IS-a uključuje niz uzastopnih faza, koje općenito odgovaraju fazama provođenja sveobuhvatne IT revizije AS, što uključuje sljedeće:
· pokretanje postupka revizije;
· prikupljanje revizorskih informacija;
· analiza revizorskih podataka;
· priprema revizorskog izvještaja;
· pokretanje postupka revizije.
Revizija se ne vrši na inicijativu revizora, već na inicijativu menadžmenta kompanije, koji je glavni dioničar u ovoj stvari.
Podrška menadžmenta kompanije je preduslov za sprovođenje revizije.
Revizija je skup aktivnosti u koje su, pored samog revizora, uključeni i predstavnici većine strukturnih odjela kompanije. Postupci svih učesnika u ovom procesu moraju biti koordinirani. Dakle, u fazi pokretanja postupka revizije moraju se riješiti sljedeća organizaciona pitanja:
Ø prava i odgovornosti revizora moraju biti jasno definisani i dokumentovani u njemu opisi poslova, kao i u propisima o internoj (eksternoj) reviziji;
Ø revizor mora pripremiti i dogovoriti sa menadžmentom plan revizije;
Ø propisi o internoj reviziji treba da propisuju, posebno, da su zaposleni u preduzeću dužni pomoći revizoru i pružiti sve informacije potrebne za reviziju.
Pokretanje postupka revizije
U fazi pokretanja postupka revizije moraju se odrediti granice istraživanja. Neki informacioni podsistemi kompanije nisu dovoljno kritični i mogu biti isključeni iz obima istraživanja.
Drugi podsistemi možda neće biti podložni reviziji zbog zabrinutosti za povjerljivost.
Granice istraživanja su definisane u sledećim terminima:
· Spisak ispitanih fizičkih, softverskih i informacionih resursa;
· Lokacije (prostorije) koje spadaju u granice istraživanja;
· Glavne vrste sigurnosnih prijetnji koje se razmatraju tokom revizije;
Organizacioni (zakonodavni, administrativni i proceduralni), fizički, softverski, hardverski i drugi aspekti bezbednosti koje je potrebno uzeti u obzir tokom istraživanja, i njihovi prioriteti (u kojoj meri ih treba uzeti u obzir).
Plan i granice revizije razmatraju se na radnom sastanku, kojem prisustvuju revizori, menadžment kompanije i rukovodioci strukturnih odjeljenja.
Prikupljanje revizorskih informacija
Faza prikupljanja revizorskih informacija je najteža i dugotrajna. To je zbog nedostatka potrebne dokumentacije za informacioni sistem i potrebe za bliskom interakcijom između revizora i mnogih službenika organizacije.
Kompetentne zaključke o stanju u društvu revizor može donijeti samo ako su dostupni svi početni podaci potrebni za analizu. Dobijanje informacija o organizaciji, funkcionisanju i trenutnom stanju IS-a vrši revizor tokom posebno organizovanih razgovora sa odgovornim licima kompanije, proučavanjem tehničke i organizacione dokumentacije, kao i istraživanjem IS-a korišćenjem specijalizovanih softverski alati. Hajde da se zadržimo na tome koje su informacije revizoru potrebne za analizu.
Prva tačka revizije počinje dobijanjem informacija o organizacionoj strukturi korisnika IS i uslužnih jedinica. S tim u vezi, revizoru je potrebna sljedeća dokumentacija:
· Šema organizacione strukture korisnika;
· Šema organizacione strukture uslužnih odjela.
U sljedećoj fazi, revizora zanimaju informacije o svrsi i funkcionisanju IS-a. Revizor ispitanicima postavlja otprilike sljedeća pitanja:
· Koje usluge se pružaju krajnjim korisnicima i kako?
· Koje su glavne vrste aplikacija koje se koriste u IS-u?
· Broj i tipovi korisnika koji koriste ove aplikacije?
Trebat će mu i sljedeća dokumentacija, naravno, ako je uopće dostupna (što se, općenito govoreći, ne događa često):
· Funkcionalni dijagrami;
· Opis automatizovane funkcije;
· Opis glavnog tehnička rješenja;
· Drugi dizajn i radna dokumentacija na informacioni sistem.
Nadalje, revizoru je potrebno više detaljne informacije o strukturi IP-a. Ovo će omogućiti da se shvati kako je distribucija mehanizama među strukturni elementi i nivoi funkcionisanja IS-a. Tipična pitanja stavke o kojima se razgovaralo u vezi s tim tokom intervjua uključuju:
· Od kojih komponenti (podsistema) se sastoji IS?
· Funkcionalnost pojedinačne komponente?
· Gdje su granice sistema?
· Koje ulazne tačke postoje?
· Kako IS komunicira sa drugim sistemima?
· Koji se komunikacioni kanali koriste za interakciju sa drugim informacionim sistemima?
· Koji se komunikacijski kanali koriste za interakciju između komponenti sistema?
· Koji protokoli se koriste za komunikaciju?
· Koje softverske i hardverske platforme se koriste za izgradnju sistema?
U ovoj fazi, revizor treba da nabavi sljedeću dokumentaciju:
· IS blok dijagram;
· Šema tokova informacija;
Opis strukture kompleksa tehničkih sredstava informacioni sistem;
· Opis strukture softvera;
Opis strukture informatička podrška;
· Postavljanje komponenti informacionog sistema.
Priprema značajnog dijela IP dokumentacije obično se vrši tokom procesa revizije. Kada su svi potrebni IP podaci, uključujući dokumentaciju, pripremljeni, možete pristupiti njihovoj analizi.
Analiza podataka revizije
Metode analize podataka koje koriste revizori određene su odabranim pristupima revizije, koji se mogu značajno razlikovati.
Prvi pristup, najsloženiji, zasnovan je na analizi rizika. Na osnovu metoda analize rizika, revizor utvrđuje individualni skup zahtjeva za ispitivani IS, koji u najvećoj mjeri uzima u obzir karakteristike ovog IS-a i njegovog radnog okruženja. Ovaj pristup je najzahtjevniji i zahtijeva najviše kvalifikacije revizora. Na kvalitet rezultata revizije, u ovom slučaju, snažno utječu korištena metodologija analize i upravljanja rizikom i njena primjenjivost na ovaj tip IS.
Drugi pristup, najpraktičniji, oslanja se na korištenje standarda. Standardi definišu osnovni skup zahtjeva za široku klasu IP, koja je nastala kao rezultat generalizacije svjetske prakse. Standardi mogu definisati različite skupove zahteva, u zavisnosti od nivoa IP bezbednosti koji treba da se obezbedi, njegove pripadnosti (komercijalna organizacija ili vladina agencija) i svrhe (finansije, industrija, komunikacije, itd.).
U ovom slučaju, od revizora se traži da ispravno odredi skup standardnih zahtjeva koji moraju biti ispunjeni za ovaj IS. Takođe je potrebna metodologija za procjenu ove usklađenosti. Zbog svoje jednostavnosti (standardni skup zahtjeva za provođenje revizije već je unaprijed određen standardom) i pouzdanosti (standard je standard i niko neće pokušati da ospori njegove zahtjeve), opisani pristup je najčešći u praksi (posebno prilikom obavljanja eksterne revizije). Omogućava, uz minimalnu potrošnju resursa, da se izvuku utemeljeni zaključci o stanju IP.
Treći pristup, najefikasniji, uključuje kombinovanje prva dva. Osnovni skup zahtjeva za IP određen je standardom. Dodatni zahtjevi, uzimajući u obzir specifičnosti funkcionisanja ovog informacionog sistema u maksimalnoj mjeri, formiraju se na osnovu analize rizika. Ovaj pristup je mnogo jednostavniji od prvog, jer
Većina zahtjeva je već definisana standardom, a istovremeno nema nedostatak drugog pristupa, a to je da zahtjevi standarda možda neće uzeti u obzir specifičnosti IP koji se ispituje.
Mnogi su vjerovatno postavili pitanje „kako provesti reviziju sigurnosti informacija?“ odakle početi? koju tehniku da koristim? postoji li specijalizovan softver za ovo? koji besplatni programi ima li za ovo?
Danas ćemo vam predstaviti proizvod iz Microsoft koji vam omogućava da izvršite reviziju informacija Microsoft Security Alat za procjenu sigurnosti (MSAT). Proizvod vam omogućava da identifikujete rizike za sigurnost informacija u već postojeći sistem i dati preporuke za njihovo otklanjanje. Prema rečima kreatora, aplikacija je dizajnirana za organizacije sa manje od 1.000 zaposlenih, a takođe će vam pomoći da bolje razumete osoblje, procese, resurse i tehnologije koje imaju za cilj da obezbede efikasno planiranje bezbednosnih aktivnosti i implementaciju metoda smanjenja rizika u organizacija. Najbolje od svega, aplikacija je besplatna i može se preuzeti sa web stranice programera. Ovaj proizvod se može koristiti kao upitnik za IT stručnjake, stručnjake za ljudske resurse i sigurnost informacija.
Tokom postupka procene rizika, na osnovu odgovora na postavljena pitanja, proveravaće se IT okruženje za glavne oblasti pretnji bezbednosti informacija. Evaluacija koristi koncept dubinske odbrane (DiD) kako bi se utvrdila efikasnost strategije sigurnosti. Koncept "dubinske odbrane" odnosi se na implementaciju višeslojne odbrane, uključujući tehničke, organizacione i operativne kontrole. Alat za procjenu zasnovan je na opšteprihvaćenim standardima i najboljim praksama dizajniranim da smanje rizik u sistemima informacionih tehnologija. Proces procjene se može ponoviti i također se može koristiti za provjeru napretka ka postizanju organizacijskih sigurnosnih ciljeva u IT infrastrukturi.
Da bi se identifikovale bezbednosne pretnje u IT sistemu vaše organizacije, određene oblasti analize će proceniti politike koje se tiču rizika za poslovanje, tehnologiju, procese i ljude. Kada se procena završi, biće date preporuke za upravljanje ovim rizicima na osnovu najboljih praksi priznatih u industriji. Ove preporuke imaju za cilj da pruže preliminarne upute da pomognete vašoj organizaciji da implementira najbolje IT prakse priznate u industriji.
Procjena rizika se sastoji od dva dijela: profila poslovnog rizika (BRP) i procjene (koja se sastoji od četiri oblasti analize). PSR-ovi predstavljaju uobičajene opasnosti sa kojima se kompanija suočava. Kada se ova procjena završi, ona ostaje nepromijenjena sve dok se ne izvrše fundamentalne promjene u IT sistemu kompanije. Možete dovršiti i sačuvati više procjena. Ove procjene se mogu i trebale bi mijenjati tokom vremena kako se primjenjuju napredne sigurnosne mjere.
Pa da vidimo, prvo kreirajte profil:
I ispunite odgovore na pitanja dok ih ispunjavate, dugmad će postati zelena:
Nakon što popunite prvi blok pitanja o parametrima kompanije, kliknite na: “Kreiranje nove procjene”
Nakon toga popunjavamo pitanja o IT infrastrukturi, osoblju i upravljanju poslovnim procesima:
Nakon odgovora sačekajte ikonu “Izvještaji”.
Izvještaj se može sačuvati kao *.docs ili pogledati u aplikaciji. Čitamo sve zaključke, dajemo preporuke zasnovane na najboljim svjetskim praksama i prezentiramo ih menadžmentu da se dogovorimo oko plana rada ili opravdamo nabavku opreme za informatičku sigurnost)))))
8.1. Koncept revizije sigurnosti informacija
Revizija informacione sigurnosti (IS) je jedno od najrelevantnijih i najdinamičnijih oblasti strateškog i operativnog upravljanja u oblasti računarske bezbednosti i od stalnog je interesa za stručnjake. Njegov glavni zadatak je objektivno procijeniti trenutno stanje informacione sigurnosti organizacije, kao i njenu adekvatnost postavljenim ciljevima i zadacima poslovanja.
Sredstva revizije sigurnosti informacija sistemski proces dobijanje objektivnih kvalitativnih i kvantitativnih procena trenutnog stanja informacione bezbednosti organizacije u skladu sa određenim kriterijumima i indikatorima na svim glavnim nivoima bezbednosti: regulatorno-metodološkim, organizaciono-menadžerskim, proceduralnim i softverskim i tehničkim
Rezultati kvalifikovane revizije informacione bezbednosti organizacije omogućavaju da se izgradi sistem informacione bezbednosti (ISMS) koji je optimalan u pogledu efikasnosti i cene, koji predstavlja kompleks tehničkih sredstava, kao i proceduralnih, organizacionih i zakonske mjere, kombinovano na osnovu modela upravljanja sigurnošću informacija.
Kao rezultat revizije, mogu se dobiti i kvalitativne i kvantitativne procjene. U kvalitativnoj procjeni, na primjer, može se dati lista ranjivosti u softveru i hardveru sa njihovom klasifikacijom prema skali ozbiljnosti od tri nivoa: visoka, srednja i niska. Kvantitativne procjene se najčešće koriste kada se procjenjuje rizik za imovinu organizacije uzrokovan sigurnosnim prijetnjama. Kvantitativne procjene mogu biti, na primjer, cijena rizika, vjerovatnoća rizika, veličina rizika itd.
Objektivnost revizije je osigurana, posebno, činjenicom da procjenu statusa IS-a vrše stručnjaci na osnovu specifične metodologije koja omogućava objektivnu analizu svih komponenti ISMS-a.
Revizija IS-a može biti usluga koju nude specijalizovane firme, međutim, organizacija mora da sprovede internu IS reviziju, koju vrše, na primer, administratori bezbednosti.
Tradicionalno postoje tri vrste revizija informacione sigurnosti koje se razlikuju po listi analiziranih komponenti ISMS-a i dobijenim rezultatima:
− aktivna revizija;
− stručna revizija;
− revizija usklađenosti sa standardima informacione sigurnosti.
8.1.1. Aktivna revizija
Aktivna revizija je ispitivanje bezbednosnog statusa određenih podsistema bezbednosti informacija (ISS) koji se odnose na nivo softvera i hardvera. Na primjer, opcija aktivna revizija, nazvan test penetracije, uključuje ispitivanje sigurnosnog podsistema mrežne interakcije. Aktivna revizija uključuje:
− analiza postojeće arhitekture i postavki PIB elemenata;
− intervjuisanje odgovornih i zainteresovanih lica;
− vršenje instrumentalnih provjera koje pokrivaju određene
Analizu arhitekture i podešavanja PIB elemenata vrše stručnjaci sa poznavanjem specifičnih zastupljenih podsistema
V sistem koji se ispituje (na primer, može zahtevati stručnjake za aktivnu mrežnu opremu iz Cisco ili Microsoft operativnih sistema), kao i sistemske analitičare koji identifikuju moguće nedostatke u organizaciji podsistema. Rezultat ove analize je set upitnika i instrumentalnih testova.
Upitnici se koriste u procesu intervjuisanja osoba odgovornih za administriranje AIS-a radi dobijanja subjektivnih karakteristika AIS-a, razjašnjavanja dobijenih početnih podataka i identifikacije nekih mjera koje se implementiraju u okviru ISMS-a. Na primjer, upitnici mogu uključivati pitanja koja se odnose na politiku promjene i dodjele lozinki, životni ciklus automatizovanog informacionog sistema i stepen kritičnosti njegovih pojedinačnih podsistema za automatizovani informacioni sistem i poslovne procese organizacije u celini.
Paralelno sa intervjuisanjem provode se instrumentalne provjere (testovi) koje mogu uključivati sljedeće aktivnosti:
− vizuelni pregled prostorija, pregled sistema kontrole pristupa prostorijama;
− pribavljanje konfiguracija i verzija uređaja i softvera;
− provjera usklađenosti stvarnih konfiguracija sa datim početnim podacima;
− dobivanje mrežne karte pomoću specijaliziranog softvera;
− korištenje sigurnosnih skenera (univerzalnih i specijaliziranih);
− modeliranje napada koji iskorištavaju ranjivosti sistema;
− provjera prisustva odgovora na akcije otkrivene otkrivanjem napada i mehanizmima odgovora.
Revizor može poći od sljedećih modela koji opisuju stepen njegovog znanja o istraživanom AIS-u (model znanja):
− model “crne kutije” – revizor nema nikakvo a priori znanje o AIS-u koji se proučava. Na primjer, kada vodite eksternu imovinu
U opštoj reviziji (to jest, u situaciji kada se simuliraju radnje napadača koji se nalazi izvan mreže koja se proučava), revizor može, znajući samo ime ili IP adresu web servera, pokušati pronaći ranjivosti u njegovoj zaštiti. ;
− model “bijele kutije” – revizor ima puno znanje o strukturi mreže koja se proučava. Na primjer, revizor može imati mape i dijagrame segmenata mreže koja se proučava, liste operativnih sistema i aplikacija. Upotreba ovog modela ne simulira u potpunosti prava akcija napadača, ali nam i dalje omogućava da zamislimo „najgori slučaj“ u kojem napadač ima potpuno znanje o mreži. Osim toga, ovo vam omogućava da izgradite scenario aktivne revizije na takav način da instrumentalni testovi imaju minimalne posljedice za AIS i ne ometaju njegov normalan rad;
− model “sive kutije” ili “kristalne kutije” – revizor imitira radnje internog korisnika AIS-a koji ima račun pristup mreži sa određenim nivoom ovlašćenja. Ovaj model vam omogućava da procenite rizike povezane sa unutrašnje pretnje, na primjer, od nepouzdanih radnika kompanije.
Auditori treba da se dogovore o svakom testu, modelu znanja koji se primjenjuje na testu i mogućim negativnim posljedicama testa sa zainteresovanima za test. kontinuirani rad AIS (menadžeri, sistem administratori, itd.).
Na osnovu rezultata instrumentalne provjere, revidiraju se rezultati preliminarne analize i, eventualno, organizuje se dodatno ispitivanje (slika 8.1).
Instrumentalna provera
Rice. 8.1. Šema za provođenje aktivne revizije IS-a
Na osnovu rezultata aktivne revizije kreira se analitički izvještaj koji se sastoji od opisa trenutnog stanja tehničkog dijela ISMS-a, liste pronađenih AIS ranjivosti sa stepenom njihove kritičnosti, te rezultata pojednostavljenog rizika. procjena, uključujući model uljeza i model prijetnje.
Dodatno, može se izraditi plan rada za modernizaciju tehničkog dijela ISMS-a, koji se sastoji od liste preporuka za tretman rizika.
8.1.2. Stručna revizija
Stručna revizija je namijenjena procjeni trenutnog stanja informacione sigurnosti na regulatornom, metodološkom, organizacionom, upravljačkom i proceduralnom nivou. Stručnu reviziju provode uglavnom eksterni revizori, sprovode je stručnjaci za upravljanje sistemom. Zaposleni u revizorskoj organizaciji zajedno sa predstavnicima naručioca obavljaju sljedeće vrste poslova:
− prikupljanje početnih podataka o AIS-u, njegovim funkcijama i karakteristikama, korištenim tehnologijama automatizovana obrada i prenos informacija (uzimajući u obzir neposredne razvojne izglede);
− prikupljanje informacija o postojećim organizaciona i administrativna dokumenta o podršci informacionoj bezbednosti i njihova analiza;
− Definicija zaštićenih sredstava, ISMS uloga i procesa.
Najvažniji alat za stručnu procjenu je prikupljanje podataka o AIS-u putem intervjua tehnički stručnjaci i uputstva za korisnike.
Glavni ciljevi intervjuisanja menadžmenta organizacije:
− utvrđivanje politike i strategije upravljanja u pitanjima osiguranja
− identifikaciju ciljeva koji su postavljeni za ISMS;
− pojašnjenje zahtjeva za ISMS;
− dobijanje procjena kritičnosti pojedinih podsistema obrade informacija, procjene finansijski gubici kada se desi bilo kakav incident.
Glavni ciljevi intervjuiranja tehničkih stručnjaka:
− prikupljanje informacija o funkcionisanju AIS-a;
− dobijanje dijagrama tokova informacija u AIS-u;
− dobijanje informacija o tehničkom dijelu ISMS-a;
− procjena efikasnosti rada ISMS-a.
IN U okviru stručne revizije vrši se analiza organizacionih i administrativnih dokumenata, kao što su bezbednosna politika, plan zaštite, različiti propisi i uputstva. Organizaciona administrativna dokumenta ocjenjuju se na dovoljnost i konzistentnost sa deklarisanim ciljevima i mjerama informacione sigurnosti, kao i na usklađenost sa politikom strateškog upravljanja po pitanjima informacione bezbjednosti.
Rezultati stručne revizije mogu sadržati preporuke za unapređenje regulatorne, metodološke, organizacione, upravljačke i proceduralne komponente ISMS-a.
Sveta fraza “vlasništvo nad informacijama je vlasništvo nad svijetom” relevantnija je nego ikad. Stoga je danas "krađa informacija" svojstvena većini napadača. To se može izbjeći uvođenjem niza zaštita od napada, kao i pravovremenim revizijama sigurnosti informacija. Revizija informacione bezbednosti je novi koncept, koji podrazumeva aktuelni i dinamički razvojni pravac operativnog i strateškog upravljanja, koji se tiče bezbednosti informacionog sistema.
Revizija informacija - teorijske osnove
Obim informacija u savremeni svet ubrzano raste, jer u cijelom svijetu postoji trend globalizacije upotrebe kompjuterske tehnologije u svim slojevima ljudsko društvo. U životu običnog čovjeka, informacijska tehnologija je glavna komponenta.
To se izražava u korišćenju interneta, kako u poslovne svrhe, tako iu svrhu igre i zabave. Paralelno sa razvojem informacionih tehnologija raste i monetizacija usluga, a samim tim i količina vremena utrošenog na različite platne transakcije pomoću plastičnih kartica. Tu spadaju bezgotovinska plaćanja za razne potrošene robe i usluge, transakcije u sistem plaćanja internet bankarstvo, mjenjačnica, druge platne transakcije. Sve ovo utiče na prostor na World Wide Webu, čineći ga većim.
Tu je i više informacija o vlasnicima kartica. To je osnova za širenje polja djelovanja prevaranata, koji danas uspijevaju izvršiti kolosalnu masu napada, uključujući napade pružatelja usluga i krajnji korisnik. IN poslednji slučaj, napad se može spriječiti korištenjem odgovarajućeg softvera, ali ako se to tiče dobavljača, potrebno je koristiti skup mjera koje minimiziraju prekide, curenje podataka i hakove servisa. To se radi putem pravovremenih revizija sigurnosti informacija.
Zadatak koji obavlja informaciona revizija je u blagovremenoj i tačnoj proceni stanja informacione bezbednosti u trenutnom trenutku konkretnog poslovnog subjekta, kao i usklađenosti sa postavljenim ciljem i ciljevima obavljanja delatnosti, uz pomoć kojih se vrši revizija informacija. treba povećati profitabilnost i efikasnost privredne aktivnosti.
Drugim riječima, revizija sigurnosti informacija je provjera sposobnosti određenog resursa da izdrži potencijalne ili stvarne prijetnje.
- Revizija sigurnosti informacija ima sljedeće ciljeve:
- Procijeniti stanje informacionog informacionog sistema za sigurnost.
- Analitička identifikacija potencijalnih rizika povezanih sa spoljni prodor u informacionu mrežu.
- Utvrđivanje lokacije praznina u sigurnosnom sistemu.
- Analitička identifikacija usklađenosti nivoa sigurnosti sa važećim standardima zakonodavnog okvira.
- Pokretanje novih metoda zaštite, njihova primjena u praksi, kao i kreiranje preporuka uz pomoć kojih će se poboljšati problemi zaštitnih sredstava, kao i traganje za novim razvojem u ovom pravcu.
Revizija se koristi kada:
- Potpuna provjera objekta koji je uključen informacioni proces. posebno, mi pričamo o računarskim sistemima, komunikacionim sistemima, prilikom prijema, prenosa i obrade podataka određene količine informacija, tehničkih sredstava, sistema nadzora i dr.
- Potpuna provjera elektronske tehničke opreme, kao i kompjuterski sistem za efekte zračenja i smetnje koje će doprinijeti njihovom gašenju.
- Prilikom provjere projektnog dijela koji uključuje rad na kreiranju sigurnosnih strategija, kao i njihovu praktičnu implementaciju.
- Potpuna provjera pouzdanosti zaštite povjerljivih informacija kojima je pristup ograničen, kao i identifikacija „rupa“ uz pomoć kojih ove informacije objavljeno po standardnim i nestandardnim mjerama.
Kada je potrebno izvršiti reviziju?
Važno je napomenuti da je potrebno revizija informacija javlja se kada je narušena sigurnost podataka. Takođe, testiranje se preporučuje za:
- Spajanje kompanija.
- Proširenje poslovanja.
- Apsorpcija ili aneksija.
- Promjena rukovodstva.
Vrste revizije informacionih sistema
Danas postoje eksterne i interne revizije informacija.
Eksternu reviziju karakteriše uključivanje spoljnih, nezavisnih stručnjaka koji imaju pravo da obavljaju takve aktivnosti. Ova vrsta inspekcije je po pravilu jednokratna i iniciraju je rukovodilac preduzeća, akcionar ili organi za sprovođenje zakona. Sprovođenje eksterne revizije nije obavezno, ali se najvjerovatnije preporučuje. Međutim, postoje nijanse utvrđene zakonom u kojima je eksterna revizija informacione sigurnosti obavezna. Na primjer, zakon pokriva finansijske institucije koje akcionarska društva, kao i finansijske organizacije.
Interna revizija sigurnosti tokova informacija je proces koji je u toku, čije sprovođenje je regulisano relevantnim dokumentom „Pravilnik o internoj reviziji“. Ovaj događaj, u okviru preduzeća, je sertifikacionog karaktera, čija je realizacija regulisana odgovarajućim nalogom za preduzeće. Sprovođenjem interne revizije, preduzeće se obezbjeđuje preko posebne jedinice u društvu.
Revizija je takođe klasifikovana kao:
- Ekspert.
- Potvrda.
- Analitički.
Ekspert podrazumeva proveru bezbednosnog statusa tokova informacija i sistema, koja se zasniva na iskustvu stručnjaka i onih koji ovu proveru sprovode.
Vrsta revizije sertifikacije se odnosi na sisteme, kao i na sigurnosne mjere, posebno na njihovu usklađenost prihvaćenim standardima V međunarodno društvo, kao i relevantna vladina dokumenta koja regulišu pravni osnov ove aktivnosti.
Analitička vrsta revizije se odnosi na dubinsku analizu informacionog sistema koji koristi tehničke uređaje. Ove akcije treba da budu usmerene na identifikaciju ranjivosti hardverskog i softverskog kompleksa.
Metodologija i alati za provođenje revizije u praksi
Revizija se provodi u fazama i uključuje:
Prva faza se smatra najjednostavnijom. Njime se definišu prava i odgovornosti osobe koja vrši reviziju, razvoj plan korak po korak akcije i koordinaciju sa menadžmentom. Istovremeno, granice analize se utvrđuju na sastanku osoblja.
Druga faza uključuje velike količine potrošnje resursa. To je opravdano činjenicom da svi tehnička dokumentacija, što se tiče hardverskog i softverskog kompleksa.
Treća faza se izvodi pomoću jedne od tri metode, i to:
- Analiza rizika.
- Analiza usklađenosti sa standardima i zakonskom regulativom.
- Kombinacije analize rizika i usklađenosti sa zakonima.
Četvrta faza vam omogućava da sistematizirate dobijene podatke i izvršite dubinsku analizu. U tom slučaju inspektor mora biti nadležan za ovu materiju.
Kako proći da ne bude problema? Zašto je potrebna takva provjera? Naš članak će vam reći o tome.
Šta je revizija i koje vrste revizije postoje? O tome je pisano.
Saznaćete šta je to poreska revizija i za koje svrhe je to potrebno.
Nakon inspekcije mora se sačiniti zaključak, koji se odražava u odgovarajućem izvještajnom dokumentu. Izvještaj obično odražava sljedeće informacije:
- Pravilnik o izvršenoj reviziji.
- Struktura sistema protoka informacija u preduzeću.
- Koje metode i sredstva su korištena za provjeru
- Tačan opis ranjivosti i slabosti, uzimajući u obzir rizik i nivo slabosti.
- Preporučene radnje za uklanjanje opasnih mjesta, kao i poboljšanje kompleksa cijelog sistema.
Real praktični saveti, uz pomoć kojih se mjere moraju implementirati, imaju za cilj minimiziranje rizika koji su identifikovani tokom revizije.
Revizija sigurnosti informacija u praksi
U praksi, prilično čest bezazlen primjer je situacija u kojoj je zaposlenik A, koji je uključen u kupovinu komercijalne opreme, pregovarao koristeći određeni program „B“.
Istovremeno, sam program je ranjiv, a prilikom registracije zaposlenik nije naveo nijedan e-mail adresa, bez broja, ali koristi alternativnu apstraktnu adresu e-pošte s nepostojećim domenom.
Kao rezultat toga, napadač može registrirati sličnu domenu i kreirati terminal za registraciju. To će mu omogućiti da šalje poruke kompaniji koja je vlasnik usluge programa „B“, tražeći izgubljenu lozinku. U ovom slučaju, server će slati poštu na postojeću adresu prevaranta, budući da radi preusmjeravanje. Kao rezultat ove operacije, prevarant ima pristup prepisci, otkriva druge informacije dobavljaču i kontrolira smjer tereta u smjeru nepoznatom zaposleniku.
Relevantnost informatičke revizije u savremenom svijetu postaje sve traženija, zbog sve većeg broja korisnika kao prostora svjetske mreže, i aplikacije na razne načine monetizacija u raznim servisima. Tako podaci svakog korisnika postaju dostupni napadačima. Mogu se zaštititi identifikacijom izvora problema - slabe tačke tokovi informacija.
U kontaktu sa
Organizacija revizije informacione sigurnosti informacionog sistema
Andrushka Igor Moldavska ekonomska akademija
TIE-238
Uvod
Savremeni informacioni sistem organizacije je distribuiran i heterogen sistem koji koristi različite softverske i hardverske komponente i ima izlazne tačke na javnoj mreži. (npr. internet). S tim u vezi, zadatak ispravnog i sigurnog konfigurisanja komponenti i osiguravanja sigurne interakcije između njih postaje znatno složeniji, a kao rezultat toga, povećava se broj ranjivosti u sistemu.
Prisustvo ranjivosti u sistemu omogućava potencijalnom napadaču da izvrši uspješan napad i nanese štetu aktivnostima organizacije. Pojava „slabih tačaka“ može biti uzrokovana različitim razlozima, uključujući i objektivne (na primjer, nedostaci u osnovnom softveru) i subjektivne prirode (Na primjer, neispravno podešavanje oprema) .
Identifikovanje i eliminisanje ranjivosti, kao i procena ukupnog nivoa bezbednosti, izuzetno je važna komponenta bezbednosti, koja može značajno povećati nivo bezbednosti informacija i drugih resursa sistema.
Rice. 1 Uloga revizije sigurnosti informacija
Ciljevi i svrha revizije
Glavni ciljevi revizije sigurnosti informacija uključuju sljedeće:
· Dobijanje objektivne i nezavisne procjene trenutnog stanja sigurnosti informacionih resursa.
· Račun maksimalni povrat iz sredstava uloženih u kreiranje sistema informacione bezbednosti.
· Procjena moguće štete od neovlaštenih radnji.
· Razvoj zahtjeva za izgradnju sistema informacione sigurnosti.
· Određivanje područja odgovornosti službenika odjeljenja.
· Proračun potrebnih resursa.
· Razvoj procedure i redosleda implementacije sistema informacione bezbednosti.
Revizija se može izvršiti na sljedeće načine:
· Sveobuhvatna revizija– prije kreiranja sistema informacione sigurnosti
· Tacka– formiranje zahtjeva za modernizaciju sistema zaštite
· Periodično– eksterna regulatorna verifikacija nivoa sigurnosti sistema.
· Provjeri– ispitivanje i procena sistema i rešenja koji se koriste ili planiraju za upotrebu.
Faze revizije
Proces revizije informacionih sistema može se predstaviti kao neka vrsta skala (sl. 2), gdje se s jedne strane razmatraju sistemi sigurnosti pristupa, s druge kontrola poslovnih procesa, a tehnička infrastruktura služi kao podrška, koja se pak zasniva na prihvaćenim metodama autorizacije, konfiguraciji sistema, kao i politikama i procedurama usvojenim u organizacije.
Rice. 2 Proces revizije informacionih sistema
Rad na reviziji IS sigurnosti uključuje niz uzastopnih faza (slika 3), koje općenito odgovaraju fazama sveobuhvatne revizije IS-a, koja uključuje sljedeće:
2. sprovođenje bezbednosne procene - obuhvata rad na otkrivanju ranjivosti tehničkih sredstava, analizu tehnološke bezbednosti, kao i adekvatnosti organizacionih procedura. Na osnovu uočenih nedostataka vrši se procjena rizika, uključujući glavne načine prevazilaženja sistema zaštite, stepen kritičnosti i izvodljivost implementacije;
3. sertifikacija sistema - obuhvata mjere za ispitivanje (vrednovanje) postojećih mjera i mjera zaštite informacija, procjenu njihove adekvatnosti, kao i usklađenost sa zahtjevima vodećih standarda;
4. na osnovu rezultata revizije izrađuje se plan za otklanjanje uočenih nedostataka. Zadatak planiranja je utvrđivanje prioriteta za otklanjanje uočenih nedostataka, razvijanje prioriteta i metodologije za njihovo otklanjanje. Osim toga, planirana je izrada konceptualnih i proceduralnih dokumenata, kao što su Koncept informacione sigurnosti, Opšti zahtjevi i preporuke za zaštitu informacija, sigurnosne politike itd.
Slika 3. Faze revizije sigurnosti informacija
U zavisnosti od ciljeva i načina sprovođenja revizije informacione bezbednosti, inicijator ovog događaja, kao što je već navedeno, je zainteresovana strana. Najčešće je inicijator revizije organizacija koju predstavlja njeno rukovodstvo.
U pravilu se u fazi anketiranja rješavaju sljedeća organizaciona pitanja:
· prava i odgovornosti revizora su jasno definisani i dokumentovani u opisu poslova, kao iu internim aktima (vanjski) revizija;
· revizor priprema i dogovara sa menadžmentom plan za provođenje revizije sigurnosti informacija.
U fazi anketiranja određuju se i granice istraživanja. Granice ankete se obično definiraju na sljedeći način:
· spisak ispitanih fizičkih, softverskih i informacionih resursa;
· stranice (prostorije), koji spada u granice istraživanja;
· glavne vrste sigurnosnih prijetnji koje se razmatraju tokom revizije;
· organizacione (zakonodavna, administrativna i proceduralna), fizičke, softverske, hardverske i druge sigurnosne aspekte koje treba uzeti u obzir tokom ankete i njihove prioritete (u kojoj meri ih treba uzeti u obzir) .
Slijedi prikupljanje revizorskih informacija, koje je najkompleksnije i dugotrajnije. To je obično zbog nedostatka potrebne dokumentacije za informacioni sistem i potrebe za bliskom interakcijom između revizora i mnogih službenika organizacije.
Kompetentne zaključke o stanju u preduzeću sa informacionom bezbednošću revizor može doneti samo ako su dostupni svi potrebni početni podaci za analizu. Dobijanje informacija o organizaciji, funkcionisanju i trenutnom stanju IS-a vrši revizor tokom posebno organizovanih razgovora sa odgovornim licima kompanije, proučavanjem tehničke i organizacione i administrativne dokumentacije, kao i istraživanjem IS-a korišćenjem specijalizovanih softverskih alata.
Osiguravanje informacione sigurnosti organizacije je složen proces koji zahtijeva jasnu organizaciju i disciplinu. Trebalo bi početi s definiranjem uloga i dodjeljivanjem odgovornosti među njima zvaničnici uključeni u informacionu sigurnost. Dakle, prva tačka revizije počinje dobijanjem informacija o organizacionoj strukturi korisnika IS i uslužnih jedinica. S tim u vezi, revizoru je potrebna dokumentacija u vezi sa organizacionom shemom IS. Obično, tokom intervjua, revizor postavlja ispitanicima pitanja u vezi sa upotrebom informacija koje kruže unutar IS-a.
Namjena i principi rada IS-a u velikoj mjeri određuju postojeće rizike i sigurnosne zahtjeve za sistem. Stoga, u sljedećoj fazi, revizora zanimaju informacije o svrsi i funkcionisanju IS-a. U ovoj fazi revizor može koristiti dokumentaciju koja sadrži sljedeće podatke:
· opis automatiziranih funkcija;
· dijagram toka informacija;
· opis strukture kompleksa tehničkih sredstava informacionog sistema;
· opis strukture softvera;
· opis strukture informacione podrške;
· opis tehnički zadaci korištene aplikacije;
Nadalje, revizor zahtijeva detaljnije informacije o strukturi IP. Ovo omogućava da se sazna kako se vrši distribucija sigurnosnih mehanizama po strukturnim elementima i nivoima rada IS-a.
Priprema značajnog dijela IP dokumentacije obično se vrši tokom procesa revizije. Kada su svi potrebni IP podaci, uključujući dokumentaciju, pripremljeni, možete preći na sljedeću fazu - njihovu analizu
Metode analize podataka koje koriste revizori određene su odabranim pristupima revizije, koji se mogu značajno razlikovati. Ali generalno, postoje 3 pristupa:
Prvi pristup, najkompleksniji, zasnovan je na analizi rizika. Na osnovu metoda analize rizika, revizor za ispitivani IS utvrđuje individualni skup sigurnosnih zahtjeva, koji u najvećoj mjeri uzima u obzir karakteristike ovog IS-a, njegovo radno okruženje i sigurnosne prijetnje koje postoje u tom okruženju. Ovaj pristup je najzahtjevniji i zahtijeva najviše kvalifikacije revizora. Na kvalitet rezultata revizije, u ovom slučaju, snažno utiče metodologija koja se koristi za analizu i upravljanje rizikom i njena primjenjivost na ovu vrstu IS-a.
